REM Ecologia Srl

GDPR: aggiornato il nuovo regolamento privacy europeo


news

17 Aprile 2018

Il 25 maggio 2018 entra in vigore il Regolamento Europeo della Privacy n. 2016/679, più comunemente chiamato GDPR.

Lo scopo del GDPR è di fornire a tutti gli Stati membri della UE regole comuni in materia di trattamento dei dati personali, al fine di eliminare le disparità tra i vari soggetti dell’Unione.

Tra le diverse iniziative sottolineiamo la pubblicazione del Vademecum per la sicurezza dei dati aziendali fornita da Assintel di Confcommercio Milano e la divulgazione di una Guida – prodotta dal Garante per la protezione dei dati – che spiega nel dettaglio le modifiche che sono state apportate.

Di seguito riportiamo per sommi capi i passaggi essenziali del Regolamento Europeo della Privacy n. 2016/679.

  1. Fondamenti di liceità del trattamento
    • Consenso: deve essere esplicito per i dati sensibili. Il consenso dei minori è valido a partire dai 16 anni.
    • Interesse vitale di un terzo: si può invocare tale base giuridica solo se nessuna delle altre condizioni di liceità può trovare applicazione.
    • Interesse legittimo prevalente di un titolare o di un terzo: Il bilanciamento fra legittimo interesse del titolare o del terzo e diritti e libertà dell’interessato non spetta all’autorità ma è compito dello stesso titolare.
  2. Informativa
    • Deve contenere: i dati di contatto del RDP-DPO (Responsabile della protezione dati – Data Protection Officer); la base giuridica del trattamento; l’interesse legittimo; se i dati sono trasferiti in Paesi terzi attraverso quali strumenti; periodo di conservazione dei dati; diritto di presentare un reclamo all’autorità; in caso di processi decisionali automatizzati, compresa la profilazione, indicazione della logica di tali processi e delle conseguenze previste per l’interessato.
    • Caratteristiche dell’Informativa: concisa, trasparente, con un linguaggio semplice e facilmente accessibile.
    • Forma dell’Informativa: in linea di principio è data per iscritto e preferibilmente in formato elettronico.
    • Tempi: l’Informativa deve essere fornita all’interessato prima di effettuare la raccolta dei dati o, se questi non sono raccolti direttamente presso l’interessato, deve comprendere anche le categorie dei dati personali oggetto di trattamento.
  3. Diritti degli interessati
    • Modalità per l’iscrizione dei diritti (artt. 11 e 12 GDPR): il termine per la risposta all’interessato è un mese, estendibile fino a tre mesi in casi di particolare complessità.
    • Diritto di accesso (art. 15 GDPR): è il diritto a ricevere una copia dei dati personali oggetto di trattamento nonché l’indicazione del periodo di conservazione previsto.
    • Diritto di cancellazione – diritto all’oblio (art. 17 GDPR): è il diritto di cancellazione dei propri dati personali in forma rafforzata.
    • Diritto di limitazione del trattamento (art. 18 GDPR): tale diritto può essere esercitato non solo in caso di violazione dei presupposti di liceità del trattamento, bensì anche se l’interessato chiede la rettifica dei suoi dati o si oppone al trattamento, in attesa della valutazione di tale opposizione da parte del titolare.
    • Diritto alla portabilità dei dati (art. 20 GDPR): non si applica ai trattamenti non automatizzati (archivi o registri cartacei).
  4. Titolare, Responsabile, Incaricato del trattamento (artt. 26 e ss. GDPR)
    • Contitolarità del trattamento (art. 26 GDPR): i titolari devono definire specificamente con un atto giuridicamente valido il rispettivo ambito di responsabilità e i relativi compiti con particolare riguardo all’esercizio dei diritti degli interessati.
    • Obblighi specifici in capo ai responsabili del trattamento, distinti da quelli dei titolari: tenuta del registro dei trattamenti svolti; adozione di misure tecniche e organizzative per garantire la sicurezza dei trattamenti; designazione di un RDP-DPO nei casi previsti dal Regolamento o dalla normativa nazionale.
  5. Approccio basato sul rischio e misure di accountability di titolari e responsabili – viene affidato ai titolari il compito di stabilire autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali
    • Data protection by default e by design (art. 25 GDPR): analisi preventiva per configurare il trattamento prevedendo a monte, ovvero prima di procedere al trattamento, le garanzie indispensabili al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati
    • Registro dei trattamenti (art. 30, par. 5 GDPR): tutti i titolari e i responsabili del trattamento devono tenere un registro dei trattamenti effettuati in forma scritta (anche elettronica) da presentare su richiesta del Garante. Sono escluse le organismi con meno di 250 dipendenti, ma solo se non effettuano trattamenti a rischio.
    • Misure di sicurezza (art. 32 GDPR): lista aperta e non esaustiva delle misure tali da garantire un livello di sicurezza adeguato al rischio del trattamento.
    • Notifica delle violazioni di dati personali: obbligo in capo a tutti i titolari di notificare all’autorità competente le violazioni di dati personali di cui vengano a conoscenza entro 72 ore.
    • Responsabile della protezione dei dati (RDP-DPO): tale deve sensibilizzare e formare il personale in merito agli adempimenti privacy, nonché sorvegliare sulla valutazione di impatto del rischio. La sua designazione è obbligatoria.
  6. Trasferimento di dati verso Paesi terzi e organismi internazionali (artt. 45 ss. GDPR): resta in vigore la necessità della previa autorizzazione del Garante solo nel caso in cui il titolare desideri utilizzare clausole contrattuali non riconosciute come adeguate dalla Commissione europea oppure accordi amministrativi stipulati tra autorità pubbliche. Il Regolamento consente di ricorrere anche a codici di condotta o schemi di certificazione per dimostrare le garanzie adeguate previste dall’art. 46 GDPR.

Il presente articolo ha lo scopo di fornire una panoramica generale sul nuovo Regolamento europeo che entrerà in vigore dal 25 maggio 2018. Per maggiori informazioni e per delle specifiche più accurate su quanto sopra, rimandiamo alla Guida del Garante per la protezione dei dati personali e al Vademecum per la protezione dei Dati preparato dal Gruppo di Lavoro Sicurezza Informatica di Assintel e presente sul sito di Confcommercio Milano.